Amazon Linux 2：java-1.8.0-amazon-corretto (ALASCORRETTO8-2023-008)

medium Nessus Plugin ID 183447

語系：

概要

遠端 Amazon Linux 2 主機缺少安全性更新。

說明

遠端主機上安裝的 java-1.8.0-amazon-corretto 版本低於 1.8.0_392.b08-1。因此，它受到 ALAS2CORRETTO8-2023-008 公告中所提及的多個弱點影響。

- Oracle Java SE 中的弱點 (元件：CORBA)。受影響的支援版本是 Oracle Java SE：8u381 和 8u381-perf。此弱點較易攻擊成功，透過 CORBA 存取網路的未經驗證攻擊者可藉此入侵 Oracle Java SE。若成功攻擊此弱點，攻擊者未經授權即可更新、插入或刪除部分 Oracle Java SE 可存取資料。注意：此弱點僅可透過以下方式遭到惡意利用：提供資料給指定元件中的 API，而不使用未受信任的 Java Web Start 應用程式或是未受信任的 Java Applet，如透過 Web 服務。
(CVE-2023-22067)

- Oracle Java SE、Oracle Java SE 的 Oracle GraalVM for JDK 產品中的弱點 (元件：JSSE) 。
受影響的支援版本是 Oracle Java SE：8u381、8u381-perf、11.0.20、17.0.8、20.0.2；
Oracle GraalVM for JDK：17.0.8 和 20.0.2。攻擊此弱點的難度較低，透過 HTTPS 存取網路的未經驗證攻擊者可藉此入侵 Oracle Java SE、Oracle GraalVM for JDK。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK 部分拒絕服務 (部分 DOS)。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2023-22081)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。